Mensen,
Mischien kan 1 van jullie wat ligt schijnen in de duisternis.
Laat ik beginnen met het feit dat alle restores e.d. gelukt zijn, dus dit is niet zo een vraag
Vandaag kreeg ik een klant aan de lijn die in elke map een help_decrypt.htm ed had staan.
Na een eerste vlugge blik waren en geen bestanden hernoemd.
Toch gaf hij aan bepaalde bestanden niet meer te kunnen openen, en na controleren klopte dit.
Geen probleem, daar hebben we backups en shadow copies voor ( shadow copy is geen backup)
Alle computers uitgeschakeld, gewoon voor de zekerheid, had inmiddels al wel de besmette computer gevonden.
Ik heb ingelogd op de server, previous versions erbij gehaald en gaan restoren.
Tijdens het restoren kreeg ik ineens de melding dat hij de shadow copies niet meer kon vinden, en tot mijn grote verbazing waren alle versies tot die van vanochtend 7 uur gewist, toen was de besmetting al een feit.
Ik heb dit nog niet eerder meegemaakt, server is geheel schoon, geen virussen oid op gevonden.
Gelukkig hebben we ook nog een echte backup, en deze restored nu alleen ik schrok erg van het feit dat de server ineens alle shadow copies kwijt was.
Normaliter worden ze op de client verwijderd maar nooit eerder gezien op de server.
Tevens werden bij deze versies de bestanden niet hernoemd oid maar blijven de extensies in tact.
Ik heb op de server geen van de bestanden geopend.
Logfiles geven ook eigenlijk geen enkele duidelijkheid.
iemand een idee?
Mischien kan 1 van jullie wat ligt schijnen in de duisternis.
Laat ik beginnen met het feit dat alle restores e.d. gelukt zijn, dus dit is niet zo een vraag
Vandaag kreeg ik een klant aan de lijn die in elke map een help_decrypt.htm ed had staan.
Na een eerste vlugge blik waren en geen bestanden hernoemd.
Toch gaf hij aan bepaalde bestanden niet meer te kunnen openen, en na controleren klopte dit.
Geen probleem, daar hebben we backups en shadow copies voor ( shadow copy is geen backup)
Alle computers uitgeschakeld, gewoon voor de zekerheid, had inmiddels al wel de besmette computer gevonden.
Ik heb ingelogd op de server, previous versions erbij gehaald en gaan restoren.
Tijdens het restoren kreeg ik ineens de melding dat hij de shadow copies niet meer kon vinden, en tot mijn grote verbazing waren alle versies tot die van vanochtend 7 uur gewist, toen was de besmetting al een feit.
Ik heb dit nog niet eerder meegemaakt, server is geheel schoon, geen virussen oid op gevonden.
Gelukkig hebben we ook nog een echte backup, en deze restored nu alleen ik schrok erg van het feit dat de server ineens alle shadow copies kwijt was.
Normaliter worden ze op de client verwijderd maar nooit eerder gezien op de server.
Tevens werden bij deze versies de bestanden niet hernoemd oid maar blijven de extensies in tact.
Ik heb op de server geen van de bestanden geopend.
Logfiles geven ook eigenlijk geen enkele duidelijkheid.
iemand een idee?
/u/57387/claimedavatar-70.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/489296/avatar.jpg?f=community){kind=avatar}
cryptolockers zijn op dit moment erg hip en sluipen veelte makkelijk er doorheen. :strip_exif()/u/53157/thai4.gif?f=community)